Comment configurer un firewall Cisco ? - Sécurité - Windows & Software
Marsh Posté le 07-11-2003 à 17:44:36
il y a 3 choses :
1) Activation d'un firewall avec inspection des packets (mais la il faut avoir l'IOS qui va bien).
2) Gerer des acces-list afin de filtrer par ports/par protocoles/par adresses IP ce qui rentre et ce qui sort de ton lan.
3) enfin parametrer tes interfaces lan et wan comme il faut afin de betonner ta sécurite (no ip redirects, no ip unreachables, no cdprun.....).
Le meilleur moyen est d'aller sur un forum DEDIE au materiel Cisco tq :
www.labo-cisco.com/forum2/default.asp
ou bien de se taper la doc (y'en a des caisses) directement sur le site du constructeur.
Marsh Posté le 07-11-2003 à 17:49:04
merci
Une question :
Mon firewall ne possede que 2 interface : une de sortie et d'entrée.
je ne vois pas comment je peux coller une A-L sur une interface particuiliere !? car quand je fais sh acces-list, il ne fait pas de correspondance avec les interfaces !
Marsh Posté le 07-11-2003 à 17:53:36
exemple :
access-list acl-in permit ip host 192.168.1.10 any
si je comprends bien, dans cet exemple, on permet a la machine 192.168.1.10 d'aller vers n'importe quelle autre de l'autre coté du firewall ?
Si je veux empecher toute machine exterieure, je ne voit pas comment faire, car inverser les termes ne vas pas marcher :L
Marsh Posté le 07-11-2003 à 17:57:42
et par defaut, le firewall bloque tout et l'on doit liberer au fur et a mesure des besoins au au contraire, il laisse tout passer et l'on doit bloquer au fur et a mesure ?
Marsh Posté le 07-11-2003 à 17:58:57
j'vais pas de faire un cours sur l'ios car j'ai par le temps mais en resumé :
1) se connecter au bestiau.
2) taper enable.
3) taper configure pour rentre dans le menu de conf.
4) saisir ton access-list (access-list 101 tcp any any.....)
5) passer dans le menu de conf de l'interface desirée :
interface ETH0 (par exemple)
6) taper acces-list 101 in par exemple
pour affecter l'access-list 101 à l'interface ETH0 en entrée.
En fait coté lan tu fais des access-list en "out" et du coté de ton interface wan tu fais une acces-list en "in".
Marsh Posté le 07-11-2003 à 18:00:46
Les ACL sont lues en séquence :
1) tu autorises ce que tu veux puis la derniere regle doit tout bloquer. Si tu fais l'inverse TOUT sera bloqué et les regles suivantes ne seront pas appliquées.
Marsh Posté le 07-11-2003 à 18:04:02
et comment je differencie les entrées, par ex :
je voudrais que l'ip 192.1.1.1 dans mon entreprise puisse sortir mais pas que la meme ip extérieure ne puisse traverser ?
Marsh Posté le 07-11-2003 à 18:18:02
Exemple simple :
LAN-------ETH0 CISCO ETH1------- WAN
Interface ETH1
acces-group 102 in
Interface ETH0
access-group 101 out
access-list 101 remark ACL pour le flux sortant
access-list 101 permit 192.1.1.1 255.255.255.255 any
access-list 101 deny ip any any (on bloque toutes les autres IP)
access-list 102 remark ACL pour le flux entrant
access-list 102 deny ip any 192.1.1.1 255.255.255 (on bloque cette adresse ip en entrée)
acces-list 102 permit ip any any (on autorise toutes les autres).
Marsh Posté le 07-11-2003 à 18:18:39
un exemple plus complexe :
http://www.murph.org/cisco803.shtml
Marsh Posté le 07-11-2003 à 18:28:21
c koi comme reference ?? c un Pix ???
Marsh Posté le 10-11-2003 à 19:38:25
Merci pour les pistes, je vais me replonger dedans.
Pour la référence, c'est un Cisco Pix 506.
Marsh Posté le 10-11-2003 à 20:45:45
vraiment bon ce forum
http://www.labo-cisco.com/forum2/default.asp
Marsh Posté le 11-11-2003 à 23:26:29
Attention les "IOS" des pix ne se programme pas exactement de la meme façon que les autres routeurs Cisco.....
Marsh Posté le 12-11-2003 à 18:07:39
vrobaina a écrit : Attention les "IOS" des pix ne se programme pas exactement de la meme façon que les autres routeurs Cisco..... |
j'avais malheureusement remarqué, certaines commandes n'existent pas sur un pix alors qu'elle sont présentes sur les routeurs.
Marsh Posté le 12-11-2003 à 18:41:38
Si t'es vraiment un niewb coté Pix tu peux tjs utiliser l'interface graphique pour le configurer. Elle ne te permet pas de tout betonner mais elle te permettra de faire une bonne partie du travail
Marsh Posté le 13-11-2003 à 09:48:01
justement, impossible de la récupérer sur le FTP de Cisco (http://www.cisco.com/cgi-bin/tablebuild.pl/pix), je me suis pourtant bien enregistré et fait validé le lien présent dans le mail de confirmation
je ne pige pas pq !
Marsh Posté le 13-11-2003 à 12:11:45
vrobaina a écrit : Exemple simple : |
visiblement, ca ne ressemble pas a ca la synthase sur un pix mais plutot a ca :
[no] access-group <access-list> in interface <if_name>
a premiere vue, on ne peut pas dire si l'on veut faire le traffic en entrée ou sortie de l'interface, mais comme on en a 2, ce n'est pas grave, ca evite une redondance.
Marsh Posté le 13-11-2003 à 13:40:22
vrobaina a écrit : normalement, le soft est fourni avec le pix. |
je n'ai rien trouvé qui ressemblait au PDM sur les 2 Cd
Marsh Posté le 13-11-2003 à 18:03:19
LMF a écrit : |
c normal, tu peux acceder au PDM avec Internet Explorer
https://ip_interne_du_pix/
faut ke t'installe une JVM
Marsh Posté le 13-11-2003 à 18:25:52
une question qui va paraitre bete :
j'ai autorisé quelques machines a sortir :
Code :
|
je vais appliquer l'acces list en tant qu'acces group sur l'interface interne.
si sur l'autre interface je rentre :
Code :
|
ca vas bloquer que les intrus et pas le résultats requetes faites par l'host 192.168.10.135 ?
Marsh Posté le 13-11-2003 à 18:27:34
une autre question :
sur routeur cisco, on fait :
Code :
|
pour sauvegarder ses modifs, sur le pix, ca ne marche pas !
Marsh Posté le 14-11-2003 à 13:59:55
LMF a écrit : une autre question :
|
Marsh Posté le 14-11-2003 à 14:02:53
sur le Pix c :
write mem |
Marsh Posté le 14-11-2003 à 17:07:28
The Mystical a écrit : sur le Pix c :
|
merci, c'est tout bete
je suppose donc que pour restaurer une config venant d'un serveur TFTP, c'est du genre :
Code :
|
Marsh Posté le 14-11-2003 à 17:17:04
Pour sauvegarder c'est donc :
Code :
|
testé et ca marche !
pour restaurer une sauvegarde venant d'un TFTP :
Code :
|
C'est bien ca commande de la restauration ? (non testé)
Marsh Posté le 14-11-2003 à 23:15:12
LMF a écrit : Pour sauvegarder c'est donc :
|
pour la restauration jcrois pas
Marsh Posté le 17-11-2003 à 13:34:19
ReplyMarsh Posté le 17-11-2003 à 21:29:56
LMF a écrit : |
nope
Marsh Posté le 19-11-2003 à 13:48:05
j'ai un probleme :
sur l'interface interne :
Code :
|
sur l'interface externe :
Code :
|
et les access group
Code :
|
mon probleme :
Ca bloque a moitiée :
j'explique :
par exemple, avec google, je peux faire une requete et avoir son résultat mais impossible de se connecter aux site, pareil pour la messagerie.
pour que ca marche je doit remplacer le deny par permit dans la ligne "access-list acl-in permit ip any any" mais dans ce cas, tout le monde peut acceder au net
Marsh Posté le 19-11-2003 à 16:59:33
je pense avoir trouvé la solution au probleme :
j'avais oublié le port pop3 et DNS
Marsh Posté le 07-11-2003 à 17:37:28
Je dois configurer un firewall cisco, le probleme, c'est que je n'ai pas vraiment de notice
D'apres ce que j'ai glanné, on configure la sécurité (pour son role de Firewall) en créant des access lists ?
Ca suffit ou il y a encore d'autres parametres ?